Em 17 de julho de 2024, a Autoridade Nacional de Proteção de Dados Pessoais – (“ANPD”) publicou no Diário Oficial da União, a Resolução CD/ANPD nº. 18/2024 regulando a atuação do encarregado de dados pessoais nos termos dos artigos 41, parágrafo 3º e 55 – J, inciso XIII da LGPD.
Tal medida se soma a tantas outras medidas tomadas pela ANPD para regular a LGPD e trazer ao mercado um pouco mais de clareza e segurança jurídica.
Os principais pontos elucidativos trazidos pela Resolução são:
Forma de indicação do Encarregado de Dados:
1. A indicação do encarregado de dados deverá ser realizada por ato formal, por meio de documento escrito, datado e assinado, podendo ser ele pessoa natural ou pessoa jurídica.
Obrigatoriedade de indicação do Encarregado de Dados:
2. Todos os controladores[1] de dados pessoais (públicos ou privados) que tratarem dados pessoais.
Não obrigatoriedade de indicação do Encarregado de Dados:
3. Os Agentes de Tratamento de Pequeno Porte estão dispensados da indicação de um encarregado de dados, mas deverão possuir um canal de comunicação com o titular de dados pessoais, nos termos da Resolução CD/ANPD nº. 2 de 27 de janeiro de 2022.
4. Os operadores[2] de dados pessoais A indicação do encarregado de dados por operadores é facultativa e será considerada como uma boa prática nos termos do artigo 52, parágrafo 1º, inciso IX da LGPD.
Forma de divulgação das informações do Encarregado de Dados:
5. A identidade e as informações de contato do encarregado deverão ser divulgadas de forma clara e objetiva, em local de destaque e fácil acesso no sítio eletrônico do agente de tratamento.
6. Para os agentes de tratamento que não possuírem sítio eletrônico, estes deverão divulgar as informações do encarregado de dados por qualquer meio de divulgação que já esteja em conformidade com o canal de comunicação com os titulares de dados pessoais.
7. O agente de tratamento deverá divulgar o nome completo do encarregado de dados, se pessoa física, o nome empresarial ou o título do estabelecimento e o nome da pessoa natural para contato, se pessoa jurídica. Além disso, o agente de tratamento deverá disponibilizar os dados de contato que permitam ao titular de dados exercer os seus direitos, bem como se comunicar com a ANPD.
Qualificação do Encarregado
8. O encarregado de dados não precisa possuir certificação e nem curso superior específico para desempenhar esta função, mas precisa ter conhecimento em proteção de dados pessoais e as suas boas práticas.
9. O agente de tratamento que deverá estabelecer as qualificações profissionais necessárias do encarregado levando em consideração o volume e o risco das operações de tratamento realizadas.
Características do Encarregado
10. O encarregado poderá ser uma pessoa natural, funcionário do agente de tratamento ou externo a este. Poderá ser também uma pessoa jurídica
11. O encarregado de dados também poderá ser pessoa jurídica
12. O encarregado deverá se comunicar com os titulares de dados e com a ANPD em língua portuguesa.
Das atribuições do Encarregado
13. Receber as reclamações e solicitações dos titulares e prestar esclarecimentos.
14. Receber as comunicações da ANPD e tomar as providências. Ao receber as comunicações deverá:
a) direcionar internamente a demanda conforme a distribuição interna das competências.
b) fornecer a orientação necessária ao agente do tratamento.
c) indicar expressamente o representante legal do agente de tratamento perante a ANPD quanto esta função não for exercida pelo encarregado de dados.
15. Orientar os funcionários e os terceiros contratados do agente de tratamento sobre as práticas adotadas em relação à proteção de dados pessoais.
16. O encarregado deverá também orientar o agente de tratamento na elaboração, definição e implantação dos seguintes documentos e medidas protetivas:
a) a verificação e comunicação do incidente de segurança.
b) registro das operações de tratamento de dados pessoais e confecção do ROPA[3].
c) Confecção do Relatório de Impacto de Proteção de Dados Pessoais.
d) desenvolvimento de medidas internas de mitigação de riscos.
e) desenvolvimento de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações ilícitas ou acidentais que caracterizem perda, destruição, alteração, comunicação ou qualquer outra forma de tratamento inadequado.
f) políticas internas que reflitam em processos que garantam o cumprimento da LGPD e os regulamentos e orientações da ANPD.
g) contratos que efetivamente estabeleçam regras que protejam os dados pessoais dos titulares.
h) verifiquem as operações de transferências internacionais de dados pessoais.
i) estabeleçam regras de boas práticas e de governança nos termos do artigo 50 da LGPD.
j) auxiliem o agente de tratamento a incorporar os princípios da privacidade por padrão e a limitação da coleta dos dados pessoais ao mínimo necessário para desenvolver os seus produtos e serviços.
Deveres do Agente de Tratamento
17. O agente de tratamento deverá garantir ao encarregado independência técnica e livre de interferências indevidas, principalmente sobre as medidas sugeridas em se tratando de proteção de dados pessoais.
18. O agente de tratamento deverá garantir meios céleres e eficazes para garantir que o encarregado consiga se comunicar com os titulares para que estes possam exercer os seus direitos.
Responsabilidade pela Conformidade da LGPD
19. O agente de tratamento será o responsável pela conformidade do tratamento de dados nos termos da LGPD.
Conflitos de Interesse
20. O encarregado deverá atuar com ética, integridade e autonomia, evitando situações de conflitos de interesse.
21. O encarregado poderá desempenhar a função para mais de uma agente de tratamento de dados, desde que não prejudique a sua atuação e inexista conflito de interesses.
22. O conflito de interesse poderá ser configurado internamente quando o encarregado faz parte do quadro de funcionários ou quando ele exerce a função externamente para mais de um agente de tratamento. Da mesma forma, o conflito de interesses poderá surgir quando o encarregado cumular duas funções estratégicas dentro do mesmo agente de tratamento.
23. Caso seja verificado o conflito de interesse, este será objeto de verificação no caso concreto e poderá acarretar a aplicação da sanção prevista no artigo 52 da LGPD.
24. Se for verificado o conflito de interesse o agente de tratamento não deverá indicar o encarregado para esta função ou deverá substituí-lo ou deverá implementar medidas que afastem o risco do conflito de interesse.
Para maiores informações e esclarecimentos a Lacaz Tech (nossa área especializada em proteção de dados pessoais, direito digital e tecnologia) está à disposição.
[1] Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
[2] Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados em nome do controlador.
[3] documento que demonstra o registro das operações de tratamento de dados pessoais.